2.1 董事會(huì)履職

由于董事會(huì)對金融機(jī)構(gòu)包括信息科技活動(dòng)在內(nèi)的經(jīng)營活動(dòng)及其合規(guī)性負(fù)最終責(zé)任，因此董事會(huì)的履職情況是信息科技治理工作中的重要一環(huán)，也是決定金融機(jī)構(gòu)信息科技風(fēng)險(xiǎn)管理水平的關(guān)鍵要素之一。

2.1.1 董事會(huì)的職責(zé)

金融機(jī)構(gòu)董事會(huì)應(yīng)當(dāng)承擔(dān)信息科技風(fēng)險(xiǎn)管理的最終責(zé)任，在公司章程中應(yīng)明確董事會(huì)的信息科技風(fēng)險(xiǎn)管理職責(zé)，包括審定風(fēng)險(xiǎn)管理和內(nèi)部控制政策等。金融行業(yè)主要監(jiān)管要求都對董事會(huì)職責(zé)做出了明確的規(guī)定。

《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》規(guī)定，商業(yè)銀行的董事會(huì)應(yīng)履行以下信息科技管理職責(zé)。

?遵守并貫徹執(zhí)行國家有關(guān)信息科技管理的法律、法規(guī)和技術(shù)標(biāo)準(zhǔn)，落實(shí)銀保監(jiān)會(huì)相關(guān)監(jiān)管要求。

?審查批準(zhǔn)信息科技戰(zhàn)略，確保其與銀行的總體業(yè)務(wù)戰(zhàn)略和重大策略一致。評估信息科技及其風(fēng)險(xiǎn)管理工作的總體效果和效率。

?掌握主要的信息科技風(fēng)險(xiǎn)，確定可接受的風(fēng)險(xiǎn)級別，確保相關(guān)風(fēng)險(xiǎn)能夠被識別、計(jì)量、監(jiān)測和控制。

?規(guī)范職業(yè)道德行為和廉潔標(biāo)準(zhǔn)，增強(qiáng)內(nèi)部文化建設(shè)，提高全體人員對信息科技風(fēng)險(xiǎn)管理重要性的認(rèn)識。

?設(shè)立一個(gè)由來自高級管理層、信息科技部門和主要業(yè)務(wù)部門代表組成的信息科技管理委員會(huì)，負(fù)責(zé)監(jiān)督各項(xiàng)職責(zé)的落實(shí)，定期向董事會(huì)和高級管理層匯報(bào)信息科技戰(zhàn)略規(guī)劃的執(zhí)行進(jìn)展、信息科技預(yù)算和實(shí)際支出、信息科技的整體狀況。

?在信息科技治理過程中，形成分工合理、職責(zé)明確、相互制衡、報(bào)告關(guān)系清晰的組織結(jié)構(gòu)。加強(qiáng)信息科技專業(yè)隊(duì)伍的建設(shè)，建立人才激勵(lì)機(jī)制。

?確保內(nèi)部審計(jì)部門進(jìn)行獨(dú)立有效的信息科技風(fēng)險(xiǎn)管理審計(jì)，對審計(jì)報(bào)告進(jìn)行確認(rèn)并落實(shí)整改。

?每年向銀保監(jiān)會(huì)及其派出機(jī)構(gòu)報(bào)送信息科技風(fēng)險(xiǎn)管理年度報(bào)告。

?確保信息科技風(fēng)險(xiǎn)管理工作所需資金。

?確保所有員工充分理解和遵守信息科技風(fēng)險(xiǎn)管理制度和流程，并安排相關(guān)培訓(xùn)。

?確保涉及客戶、賬務(wù)以及產(chǎn)品等信息的核心系統(tǒng)在中國境內(nèi)獨(dú)立運(yùn)行，并保持最高級別的管理權(quán)限，符合銀保監(jiān)會(huì)監(jiān)管和實(shí)施現(xiàn)場檢查的要求，防范跨境風(fēng)險(xiǎn)。

?及時(shí)向銀保監(jiān)會(huì)及其派出機(jī)構(gòu)報(bào)告本機(jī)構(gòu)發(fā)生的重大信息科技事故或突發(fā)事件，并按相關(guān)預(yù)案快速響應(yīng)。

?配合銀保監(jiān)會(huì)及其派出機(jī)構(gòu)做好信息科技風(fēng)險(xiǎn)監(jiān)督檢查工作，并按照監(jiān)管意見進(jìn)行整改。

?履行信息科技風(fēng)險(xiǎn)管理其他相關(guān)工作。

《商業(yè)銀行數(shù)據(jù)中心監(jiān)管指引》規(guī)定，商業(yè)銀行應(yīng)充分識別、分析、評估數(shù)據(jù)中心外包風(fēng)險(xiǎn)，包括信息安全風(fēng)險(xiǎn)、服務(wù)中斷風(fēng)險(xiǎn)、系統(tǒng)失控風(fēng)險(xiǎn)以及聲譽(yù)風(fēng)險(xiǎn)、戰(zhàn)略風(fēng)險(xiǎn)等，形成風(fēng)險(xiǎn)評估報(bào)告并報(bào)董事會(huì)和高管層審核。

《銀行業(yè)金融機(jī)構(gòu)外包風(fēng)險(xiǎn)管理指引》規(guī)定，銀行業(yè)金融機(jī)構(gòu)董事會(huì)負(fù)責(zé)審議并批準(zhǔn)外包的戰(zhàn)略發(fā)展規(guī)劃、風(fēng)險(xiǎn)管理制度、范圍及相關(guān)安排，并定期審閱本機(jī)構(gòu)外包活動(dòng)的相關(guān)報(bào)告。

《銀行保險(xiǎn)機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管辦法》規(guī)定如下。

?銀行保險(xiǎn)機(jī)構(gòu)董（理）事會(huì)或其授權(quán)設(shè)立的專業(yè)委員會(huì)應(yīng)負(fù)責(zé)推動(dòng)建立信息科技外包及其風(fēng)險(xiǎn)管理體系，審批信息科技外包戰(zhàn)略，審議重大外包決策。

?外包項(xiàng)目立項(xiàng)前，金融機(jī)構(gòu)應(yīng)當(dāng)審慎檢查項(xiàng)目與信息科技外包戰(zhàn)略的一致性，根據(jù)項(xiàng)目內(nèi)容、范圍、性質(zhì)對其進(jìn)行風(fēng)險(xiǎn)識別和評估，制定相應(yīng)的風(fēng)險(xiǎn)處置措施，不因外包活動(dòng)的引入而增加整體風(fēng)險(xiǎn)。重大外包項(xiàng)目應(yīng)向董事會(huì)、高管層報(bào)告。

?金融機(jī)構(gòu)董事會(huì)及高級管理層應(yīng)審慎檢查重大項(xiàng)目的風(fēng)險(xiǎn)評估報(bào)告。

《銀行業(yè)重要信息系統(tǒng)突發(fā)事件應(yīng)急管理規(guī)范（試行）》規(guī)定如下。

?董事會(huì)應(yīng)定期聽取風(fēng)險(xiǎn)狀況分析、信息系統(tǒng)重大突發(fā)事件、現(xiàn)有應(yīng)急管理政策重大修改等匯報(bào)。

?風(fēng)險(xiǎn)管理部門應(yīng)制定應(yīng)急管理政策和基本管理制度并報(bào)董事會(huì)和高級管理層審定。

?定期分析風(fēng)險(xiǎn)狀況和總結(jié)信息系統(tǒng)突發(fā)事件應(yīng)急管理成效，并向董事會(huì)和高級管理層報(bào)告。

?應(yīng)急演練結(jié)束后，金融機(jī)構(gòu)應(yīng)撰寫應(yīng)急演練情況總結(jié)報(bào)告，大型或重要的應(yīng)急演練總結(jié)報(bào)告應(yīng)提交董事會(huì)和高管層。

《商業(yè)銀行業(yè)務(wù)連續(xù)性監(jiān)管指引》規(guī)定董事會(huì)應(yīng)負(fù)責(zé)如下內(nèi)容。

?審核和批準(zhǔn)業(yè)務(wù)連續(xù)性管理戰(zhàn)略、政策和程序。

?審批高級管理層業(yè)務(wù)連續(xù)性管理職責(zé)，定期聽取高級管理層關(guān)于業(yè)務(wù)連續(xù)性管理的報(bào)告。

?審批業(yè)務(wù)連續(xù)性管理年度審計(jì)報(bào)告。

《銀行業(yè)金融機(jī)構(gòu)重要信息系統(tǒng)投產(chǎn)及變更管理辦法》規(guī)定金融機(jī)構(gòu)董事會(huì)及高級管理層應(yīng)審慎審議重大項(xiàng)目的風(fēng)險(xiǎn)評估報(bào)告。

2.1.2 董事會(huì)信息科技管理相關(guān)職責(zé)

從以上監(jiān)管要求可以看出，董事會(huì)信息科技管理相關(guān)職責(zé)如下。

?遵守并貫徹執(zhí)行國家有關(guān)信息科技管理的法律、法規(guī)和技術(shù)標(biāo)準(zhǔn)，落實(shí)金融機(jī)構(gòu)監(jiān)管部門的相關(guān)監(jiān)管要求，包括但不限于及時(shí)向監(jiān)管部門報(bào)告本機(jī)構(gòu)發(fā)生的重大信息科技事故或突發(fā)事件、按相關(guān)預(yù)案快速響應(yīng)，配合監(jiān)管部門做好信息科技風(fēng)險(xiǎn)監(jiān)督檢查工作，并按照監(jiān)管意見進(jìn)行整改等。

?審查批準(zhǔn)信息科技戰(zhàn)略，確保其與本機(jī)構(gòu)總體業(yè)務(wù)戰(zhàn)略和重大策略一致，評估信息科技及其風(fēng)險(xiǎn)管理工作的總體效果和效率，同時(shí)，應(yīng)確保信息科技風(fēng)險(xiǎn)管理工作所需資金充足。金融機(jī)構(gòu)可在本機(jī)構(gòu)總體戰(zhàn)略規(guī)劃的框架下，結(jié)合自身信息科技風(fēng)險(xiǎn)的實(shí)際情況，制定本機(jī)構(gòu)的信息科技戰(zhàn)略，信息科技戰(zhàn)略須經(jīng)董事會(huì)審查批準(zhǔn)。董事會(huì)通過的信息科技相關(guān)決策，可納入督辦事項(xiàng)，明確辦結(jié)質(zhì)量、辦結(jié)標(biāo)準(zhǔn)和辦結(jié)時(shí)間，統(tǒng)一督辦，并在中間過程及時(shí)進(jìn)行檢查和督促。

?掌握主要的信息科技風(fēng)險(xiǎn)，確定可接受的風(fēng)險(xiǎn)級別，確保相關(guān)風(fēng)險(xiǎn)能夠被識別、計(jì)量、監(jiān)測和控制，確保全機(jī)構(gòu)信息科技風(fēng)險(xiǎn)管理的總體有效性與合規(guī)性。董事會(huì)應(yīng)聽取和審議信息科技風(fēng)險(xiǎn)管理工作的情況匯報(bào)、重大信息科技項(xiàng)目進(jìn)展及重大信息科技突發(fā)事件處理報(bào)告，建立信息系統(tǒng)運(yùn)行風(fēng)險(xiǎn)監(jiān)控機(jī)制、信息科技風(fēng)險(xiǎn)檢查及整改機(jī)制，有效控制和化解信息科技風(fēng)險(xiǎn)。此外，董事會(huì)應(yīng)確保內(nèi)部審計(jì)部門進(jìn)行獨(dú)立有效的信息科技風(fēng)險(xiǎn)管理審計(jì)，對審計(jì)報(bào)告進(jìn)行確認(rèn)并落實(shí)整改。

?董事會(huì)應(yīng)具備信息科技治理的專業(yè)能力，董事會(huì)相關(guān)成員應(yīng)具備信息科技管理、決策所需的能力和經(jīng)驗(yàn)。同時(shí)，在建立良好的公司治理基礎(chǔ)上進(jìn)行信息科技治理，形成分工合理、職責(zé)明確、相互制衡、匯報(bào)路線清晰的組織結(jié)構(gòu)。加強(qiáng)信息科技專業(yè)隊(duì)伍的建設(shè)，建立人才激勵(lì)機(jī)制。此外，董事會(huì)應(yīng)規(guī)范職業(yè)道德行為和廉潔標(biāo)準(zhǔn)，增強(qiáng)內(nèi)部文化建設(shè)，提高全體人員對信息科技風(fēng)險(xiǎn)管理重要性的認(rèn)識，并確保所有員工充分理解和遵守信息科技風(fēng)險(xiǎn)管理制度和流程，并安排相關(guān)培訓(xùn)。